Troll Stealer
ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਰਾਸ਼ਟਰ-ਰਾਜ ਅਭਿਨੇਤਾ ਕਿਮਸੁਕੀ, ਨੂੰ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਉਸਨੇ ਗੋਲੰਗ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ 'ਤੇ ਬਣੇ ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਜਾਣਕਾਰੀ-ਚੋਰੀ ਮਾਲਵੇਅਰ, ਟ੍ਰੋਲ ਸਟੀਲਰ ਨੂੰ ਤਾਇਨਾਤ ਕੀਤਾ ਹੈ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਸੌਫਟਵੇਅਰ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ SSH ਕ੍ਰੇਡੈਂਸ਼ੀਅਲ, FileZilla ਜਾਣਕਾਰੀ, C ਡਰਾਈਵ ਤੋਂ ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ, ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ, ਸਿਸਟਮ ਵੇਰਵੇ, ਅਤੇ ਸਕ੍ਰੀਨ ਕੈਪਚਰ, ਹੋਰ ਚੀਜ਼ਾਂ ਦੇ ਨਾਲ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਸ਼ਾਮਲ ਹਨ।
ਕਿਮਸੁਕੀ ਨਾਲ ਟ੍ਰੋਲ ਸਟੀਲਰ ਦਾ ਕਨੈਕਸ਼ਨ ਐਪਲਸੀਡ ਅਤੇ ਅਲਫਾਸੀਡ ਵਰਗੇ ਜਾਣੇ-ਪਛਾਣੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਤੋਂ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਦੋਵੇਂ ਪਹਿਲਾਂ ਇੱਕੋ ਧਮਕੀ ਅਭਿਨੇਤਾ ਸਮੂਹ ਨਾਲ ਜੁੜੇ ਹੋਏ ਸਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਕਿਮਸੁਕੀ ਇੱਕ ਸਰਗਰਮ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਗਰੁੱਪ ਹੈ
ਕਿਮਸੁਕੀ, ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ਪਹਿਲਾਂ ਥੈਲਿਅਮ), ਨਿੱਕਲ ਕਿਮਬਾਲ, ਅਤੇ ਵੈਲਵੇਟ ਚੋਲਿਮਾ ਵਜੋਂ ਪਛਾਣੀ ਜਾਂਦੀ ਹੈ, ਸੰਵੇਦਨਸ਼ੀਲ ਅਤੇ ਗੁਪਤ ਜਾਣਕਾਰੀ ਨੂੰ ਚੋਰੀ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਅਪਮਾਨਜਨਕ ਸਾਈਬਰ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਲਈ ਮਸ਼ਹੂਰ ਹੈ।
ਨਵੰਬਰ 2023 ਵਿੱਚ, ਅਮਰੀਕੀ ਖਜ਼ਾਨਾ ਵਿਭਾਗ ਦੇ ਵਿਦੇਸ਼ੀ ਸੰਪੱਤੀ ਨਿਯੰਤਰਣ ਦਫਤਰ (OFAC) ਨੇ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਰਣਨੀਤਕ ਟੀਚਿਆਂ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਵਿੱਚ ਉਨ੍ਹਾਂ ਦੀ ਭੂਮਿਕਾ ਲਈ ਇਨ੍ਹਾਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ 'ਤੇ ਪਾਬੰਦੀਆਂ ਲਾਈਆਂ।
ਇਸ ਵਿਰੋਧੀ ਸਮੂਹ ਨੂੰ ਐਪਲਸੀਡ ਅਤੇ ਅਲਫਾਸੀਡ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਬੈਕਡੋਰਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਦੱਖਣੀ ਕੋਰੀਆ ਦੀਆਂ ਸੰਸਥਾਵਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ।
ਟ੍ਰੋਲ ਸਟੀਲਰ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਅਟੈਕ ਆਪ੍ਰੇਸ਼ਨ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਕਰਵਾਏ ਗਏ ਇੱਕ ਇਮਤਿਹਾਨ ਵਿੱਚ ਇੱਕ ਡਰਾਪਰ ਦੀ ਵਰਤੋਂ ਦਾ ਖੁਲਾਸਾ ਹੋਇਆ ਹੈ ਜਿਸਨੂੰ ਬਾਅਦ ਵਿੱਚ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਧਮਕੀ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। ਡਰਾਪਰ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਸੁਰੱਖਿਆ ਪ੍ਰੋਗਰਾਮ ਲਈ ਇੱਕ ਇੰਸਟਾਲੇਸ਼ਨ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਣਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਦੱਖਣੀ ਕੋਰੀਆਈ ਫਰਮ ਤੋਂ SGA ਹੱਲ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਦੇ ਨਾਮ ਦੀ ਗੱਲ ਹੈ, ਇਹ ਇਸਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤੇ ਮਾਰਗ 'D:/~/repo/golang/src/root.go/s/troll/agent' 'ਤੇ ਅਧਾਰਤ ਹੈ।
ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀ ਗਈ ਸੂਝ ਦੇ ਅਨੁਸਾਰ, ਡਰਾਪਰ ਮਾਲਵੇਅਰ ਦੇ ਨਾਲ ਜੋੜ ਕੇ ਇੱਕ ਜਾਇਜ਼ ਇੰਸਟਾਲਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਡਰਾਪਰ ਅਤੇ ਮਾਲਵੇਅਰ ਦੋਵੇਂ ਇੱਕ ਵੈਧ D2Innovation Co., LTD ਸਰਟੀਫਿਕੇਟ ਦੇ ਹਸਤਾਖਰ ਰੱਖਦੇ ਹਨ, ਜੋ ਕੰਪਨੀ ਦੇ ਸਰਟੀਫਿਕੇਟ ਦੀ ਸੰਭਾਵੀ ਚੋਰੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
ਟ੍ਰੋਲ ਸਟੀਲਰ ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਣ ਵਿਸ਼ੇਸ਼ਤਾ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ GPKI ਫੋਲਡਰ ਨੂੰ ਚੋਰੀ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ, ਇਸ ਸੰਭਾਵਨਾ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਦੇਸ਼ ਦੇ ਅੰਦਰ ਪ੍ਰਬੰਧਕੀ ਅਤੇ ਜਨਤਕ ਸੰਸਥਾਵਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਹਮਲਿਆਂ ਵਿੱਚ ਲਗਾਇਆ ਗਿਆ ਹੈ।
ਕਿਮਸਿਕੀ ਉਨ੍ਹਾਂ ਦੀਆਂ ਚਾਲਾਂ ਨੂੰ ਵਿਕਸਤ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਹਥਿਆਰਾਂ ਨੂੰ ਧਮਕੀ ਦੇ ਸਕਦੀ ਹੈ
GPKI ਫੋਲਡਰਾਂ ਦੀ ਚੋਰੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੇ ਦਸਤਾਵੇਜ਼ੀ ਕਿਮਸੁਕੀ ਮੁਹਿੰਮਾਂ ਦੀ ਅਣਹੋਂਦ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਇਹ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਜਾ ਰਿਹਾ ਹੈ ਕਿ ਦੇਖਿਆ ਗਿਆ ਨਵਾਂ ਵਿਵਹਾਰ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਤਬਦੀਲੀ ਜਾਂ ਸਮੂਹ ਨਾਲ ਨੇੜਿਓਂ ਜੁੜੇ ਕਿਸੇ ਹੋਰ ਧਮਕੀ ਅਦਾਕਾਰ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਦਾ ਸੰਕੇਤ ਦੇ ਸਕਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸਰੋਤ ਕੋਡ ਤੱਕ ਪਹੁੰਚ ਰੱਖਦਾ ਹੈ। AppleSeed ਅਤੇ AlphaSeed ਦਾ.
ਸੰਕੇਤ GoBear ਨਾਮਕ ਇੱਕ ਗੋ-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਵਿੱਚ ਧਮਕੀ ਅਦਾਕਾਰ ਦੀ ਸੰਭਾਵੀ ਸ਼ਮੂਲੀਅਤ ਵੱਲ ਵੀ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਇਸ ਬੈਕਡੋਰ 'ਤੇ D2Innovation Co., LTD ਨਾਲ ਜੁੜੇ ਇੱਕ ਜਾਇਜ਼ ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਹਸਤਾਖਰ ਕੀਤੇ ਗਏ ਹਨ ਅਤੇ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, GoBear ਦੇ ਕੋਡ ਦੇ ਅੰਦਰ ਫੰਕਸ਼ਨ ਨਾਮ BetaSeed ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਕਮਾਂਡਾਂ ਨਾਲ ਓਵਰਲੈਪ ਹੁੰਦੇ ਹਨ, ਇੱਕ C++-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਜੋ ਕਿਮਸੁਕੀ ਸਮੂਹ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, GoBear ਨੇ SOCKS5 ਪ੍ਰੌਕਸੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਪੇਸ਼ ਕੀਤੀ ਹੈ, ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਕਿਮਸੁਕੀ ਸਮੂਹ ਨਾਲ ਜੁੜੇ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਵਿੱਚ ਪਹਿਲਾਂ ਮੌਜੂਦ ਨਹੀਂ ਸੀ।
